Думаю очень полезен будет вот этот
материал
Как новичку Вам все же стоит воспользоваться сканерами безопасности: Acunetix, Netsparker, w3af
Для отправки запросов вы можете использовать как CURL, так и Burp, в том числе Acunetix обладает таким функционалом.
Чтобы понять как воровать куки, необходимо разобраться с XSS и сценарии атак на Cookie.
Все это подходит для BlackBox тестирования, если у Вас есть код то проверьте его на лучшие практики.
Описанное покрывает Вашу задачу. Для более детального анализа обращайтесь к специалистам. ;-)
